Ambas opciones parecen controlar quién puede incrustar el contenido en una etiqueta <iframe>
, al igual que lo hace X-Frame-Options
. Chrome y Safari están en desuso de este encabezado (parcialmente, allow-from
por ejemplo), por lo que es cuestión de tiempo que Firefox y Edge ya no lo utilicen, por lo que solo estará disponible la Política de seguridad de contenido.
He estado haciendo algunas pruebas, y el mismo resultado (bloquear / permitir dominio específico) se logra al usar cualquiera de esas opciones, entonces, ¿cuál es realmente la diferencia entre ellas?
Esperando algunos ejemplos de uso donde uno es útil y el otro no.